NIS2 : quel est le niveau de maturité pour les secteurs santé, spatial, énergie...

La NIS2, génératrice de complexité pour les autorités nationales ?

Ces dernières ne sont pas toujours familières des périmètres qu'elles sont censées superviser, constate l'ENISA (Agence de l'Union européenne pour la cybersécurité). Et pour cause : la directive les a élargis - plus ou moins sensiblement en fonction des secteurs économiques - en venant englober des entités précédemment non régulées. C'est particulièrement notable dans les domaines de l'infrastructure numérique (Internet, services de confiance, datacenters et cloud) et de la gestion des services TIC (MSP + MSSP).

L'un et l'autre de ces domaines apparaissent plutôt matures en cybersécurité*. Ils le sont toutefois moins que la banque, l'électricité et les télécoms. Trois secteurs qui bénéficient d'une supervision réglementaire importante. L'électricité a par exemple un "code de réseau" contenant des règles sur la cybersécurité des flux transfrontaliers, tandis que le secteur financier a eu droit à des stress tests conduits par la BCE. L'ENISA y ajoute des partenariats public-privé "robustes" et une certaine "attention politique" (l'électricité fut au centre de l'exercice Cyber Europe 2024).

ENISA

Dans des secteurs hétérogènes, le défi de la cohérence

L'hétérogénéité du secteur de l'infrastructure numérique (illustration avec le sous-secteur du SaaS, qui inclut des PME comme des multinationales) joue sur son niveau de maturité. Sa nature transfrontière aussi.

On retrouve ces caractéristiques dans la gestion des services TIC, mais le profil de maturité est distinct. Entre autres parce que s'y ajoutent un faible niveau de collaboration entre les parties prenantes et un manque de processus standardisés.
Au vu des interconnexions avec d'autres secteurs, l'ENISA en appelle à davantage de collaboration entre autorités compétentes. Elle suggère par ailleurs, pour les entités concernées à la fois par DORA et NIS2, d'établir une correspondance des exigences afin d'éviter la redondance. Dans le même esprit de cohérence, elle recommande d'aligner le schéma de certification des services de sécurité managés avec les normes techniques de réglementation (RTS) et d'exécution (ITS) de DORA.

Partager l'information...

Avec la NIS2, l'hétérogénéité du périmètre régulé s'est également accrue dans le secteur de la santé. L'ENISA y perçoit de grandes disparités dans la compréhension du risque cyber et des niveaux de préparation variables (mis en lumière par l'exercice Cyber Europe 2022). S'y ajoutent la dépendance à des chaînes d'approvisionnement complexes, la présence de systèmes hérités et des équipements médicaux mal sécurisés.

Face à ces constats, l'ENISA préconise des lignes directrices pour l'achat de produits, services et infrastructures sécurisés. Elle suggère aussi des recommandations ciblées relatives aux pratiques essentielles de cybersécurité, des campagnes de sensibilisation et le recours à des plates-formes de partage d'informations tel le Health-ISAC.

... et des modèles de services

L'administration publique fait partie des secteurs nouvellement régulés sous l'ère NIS2. L'ENISA y déplore un manque d'expérience et de support. Elle perçoit, au niveau européen, un manque de clarté sur le périmètre concerné et sur les menaces auxquelles le secteur fait face.

Le soutien - notamment financier - que procure le Cyber Solidarity Act est une piste à explorer pour ce secteur, affirme l'ENISA. Autre levier : partager des modèles de services avec d'autres entités publiques. Un modèle jugé particulièrement adapté vu les cadres réglementaires communs et les besoins opérationnels similaires entre administrations.

Spatial-télécoms, gaz-électricité... Collaborer entre secteurs

De la NIS1 à la NIS2, le spatial est un autre secteur nouvellement régulé. Ses parties prenantes sont relativement peu familières de la directive, explique l'ENISA, sur la foi, entre autres, de son enquête 2024 sur les investissements NIS. L'Agence mentionne aussi la dépendance à des chaînes d'approvisionnement complexes et un partage d'informations "encore naissant".

Ce partage d'informations devra se faire avec d'autres secteurs, déclare-t-elle. Dont les télécoms, vu la convergence 5G/satellite. Il s'agira aussi de travailler la sensibilisation et de développer des lignes directrices relatives aux tests avant intégration en production.

Dans le secteur du gaz aussi, on tâchera d'aller vers une collaboration intersectorielle, tout particulièrement avec l'électricité et la fabrication. Non sans développer de plans de réponse spécifiques.
Dans le secteur du transport maritime, on mènera si possible un exercice européen centré sur un scénario multimodal (impliquant d'autres transports). Tout en se dotant de recommandations axées sur le secure by design et la gestion proactive des vulnérabilités.

* L'ENISA a pris en compte les secteurs "hautement critiques" listés dans l'annexe I de la directive. Elle n'entend pas inclure, tout du moins à court terme, les "autres secteurs critiques" qui se trouvent dans l'annexe II. Parmi eux, services postaux, gestion des déchets, recherche, et fabrication/production/distribution de produits alimentaires.

Illustration principale générée par IA